О программе MBAM 2.5

  • Статья

Майкрософт администрирование и мониторинг BitLocker (MBAM) 2.5 предоставляет упрощенный административный интерфейс для шифрования диска BitLocker. BitLocker обеспечивает расширенную защиту от кражи или раскрытия данных для потерянных или украденных компьютеров. BitLocker шифрует все данные, хранящиеся на томах и дисках операционной системы Windows, а также на настроенных дисках с данными.

Обзор MBAM

MBAM 2.5 имеет следующие функции:

  • позволяет администраторам автоматизировать процедуру шифрования томов на клиентских компьютерах в организации;

  • позволяет специалистам по безопасности быстро определять состояние соответствия требованиям отдельных компьютеров или всей организации;

  • обеспечивает возможность централизованного составления отчетности и управления оборудованием с использованием Microsoft System Center Configuration Manager;

  • Сокращает рабочую нагрузку в службе поддержки, чтобы помочь конечным пользователям с ПИН-кодом BitLocker и запросами на ключи восстановления.

  • позволяет конечным пользователям восстанавливать зашифрованные устройства независимо, используя портал самообслуживания;

  • Позволяет сотрудникам службы безопасности легко выполнять аудит доступа к восстановлению информации о ключах.

  • позволяет пользователям Windows Корпоративная продолжать работать в любом месте, не беспокоясь о защите данных организации;

MBAM применяет параметры политики шифрования BitLocker, заданные для предприятия, отслеживает соответствие клиентских компьютеров этим политикам и сообщает о состоянии шифрования компьютеров предприятия и отдельных пользователей. Кроме того, MBAM позволяет получить доступ к сведениям о ключе восстановления, когда пользователи забывают СВОЙ ПИН-код или пароль, а также при изменении bios или загрузочных записей.

Следующие группы могут быть заинтересованы в использовании MBAM для управления BitLocker:

  • Администраторы, специалисты по ИТ-безопасности и сотрудники по соответствию требованиям, которые отвечают за обеспечение того, чтобы конфиденциальные данные не раскрывались без авторизации

  • Администраторы, отвечающие за безопасность компьютеров в удаленных офисах или филиалах

  • Администраторы, отвечающие за клиентские компьютеры под управлением Windows

Примечание BitLocker подробно не описан в этой документации ПО MBAM. Дополнительные сведения см. в статье Общие сведения о шифровании дисков BitLocker.

Новые возможности MBAM 2.5

В этом разделе описываются новые функции в MBAM 2.5.

Поддержка Майкрософт SQL Server 2014

MBAM добавляет поддержку для Майкрософт SQL Server 2014 года в дополнение к тому же программному обеспечению, которое поддерживается в более ранних версиях MBAM.

Шаблоны групповая политика MBAM, скачанные отдельно

Шаблоны групповая политика MBAM необходимо скачать отдельно от установки MBAM. В предыдущих версиях MBAM установщик MBAM включал шаблон политики MBAM, который содержал необходимые объекты групповая политика MBAM, определяющие параметры реализации MBAM для шифрования диска BitLocker. Эти объекты групповой политики были удалены из установщика MBAM. Теперь вы скачайте объекты групповой политики из раздела Скачивание и развертывание шаблонов MDOP групповая политика (.admx) и скопируйте их на сервер или рабочую станцию перед началом установки клиента MBAM. Шаблоны групповая политика можно скопировать на любой сервер или рабочую станцию под управлением поддерживаемой версии Windows Server или операционной системы Windows.

Важно Не изменяйте параметры групповая политика в узле Шифрование диска BitLocker, иначе MBAM будет работать неправильно. При настройке параметров групповая политика в узле MDOP MBAM (управление BitLocker) MBAM автоматически настраивает параметры шифрования диска BitLocker.

Файлы шаблонов, которые необходимо скопировать на сервер или рабочую станцию:

  • BitLockerManagement.adml

  • BitLockerManagement.admx

  • BitLockerUserManagement.adml

  • BitLockerUserManagement.admx

Скопируйте файлы шаблонов в расположение, которое наилучшим образом соответствует вашим потребностям. Для файлов, зависящих от языка, которые должны быть скопированы в папку для конкретного языка, для просмотра файлов требуется консоль управления групповая политика.

  • Чтобы установить файлы шаблонов локально на сервере или рабочей станции, скопируйте файлы в одно из следующих расположений.

    Тип файла Расположение файла

    не зависящий от языка (.admx)

    %systemroot%\policyDefinitions

    язык (ADML)

    %systemroot%\policyDefinitions[MUIculture] (например, файл для английского языка США будет храниться в папке %systemroot%</em>policyDefinitions\en-us)

  • Чтобы сделать шаблоны доступными для всех администраторов групповая политика в домене, скопируйте файлы в одно из следующих расположений на контроллере домена.

    Тип файла Расположение файла контроллера домена

    Не зависящий от языка (.admx)

    %systemroot%sysvol\domain\policies\PolicyDefinitions

    Конкретный язык (ADML)

    %systemroot%\sysvol\domain\policies\PolicyDefinitions[MUIculture] (например, файл для английского языка США будет храниться в папке %systemroot%\sysvol\domain\policies\PolicyDefinitions\en-us)

Дополнительные сведения о файлах шаблонов см. в разделе Пошаговое руководство по управлению файлами ADMX групповая политика.

Возможность применения политик шифрования в операционной системе и фиксированных дисках с данными

MBAM 2.5 позволяет применять политики шифрования к операционной системе и фиксированным дискам с данными для компьютеров в организации, а также ограничить количество дней, в течение которых конечные пользователи могут запросить отсрочку требования о соответствии политикам шифрования MBAM.

Чтобы включить настройку принудительного применения политики шифрования, для дисков операционной системы и фиксированных дисков с данными добавлен новый параметр групповая политика, называемый параметрами принудительного применения политики шифрования. Эта политика описана в следующей таблице.

Параметр групповой политики Описание групповая политика узел, используемый для настройки этого параметра

Параметры принудительного применения политики шифрования (диск операционной системы)

Для этого параметра используйте параметр Настроить количество дней, не соответствующих требованиям, для дисков операционной системы , чтобы настроить льготный период.

Льготный период указывает количество дней, в течение которых пользователи могут отложить соблюдение политик MBAM для диска операционной системы после того, как диск впервые будет обнаружен как несоответствующий.

По истечении настроенного льготного периода пользователи не смогут отложить требуемое действие или запросить освобождение от него.

Если требуется взаимодействие с пользователем (например, если вы используете доверенный платформенный модуль (TPM) + ПИН-код или используете предохранитель паролем), появится диалоговое окно, и пользователи не смогут закрыть его, пока не предоставят необходимые сведения. Если предохранитель является только доверенным платформенный модуль, шифрование начинается сразу же в фоновом режиме без ввода пользователем.

Пользователи не могут запрашивать исключения с помощью мастера шифрования BitLocker. Вместо этого они должны обратиться в службу поддержки или использовать любой процесс, используемый их организацией для запросов на освобождение.

Политики конфигурации > компьютера Административные шаблоны > Windows Компоненты > MDOP MBAM (Управление BitLocker) > Операционная > система диск

Параметры принудительного применения политики шифрования (фиксированные диски с данными)

Для этого параметра используйте параметр Настроить количество дней льготного периода несоответствия для фиксированных дисков, чтобы настроить льготный период.

Льготный период указывает количество дней, в течение которых конечные пользователи могут отложить соответствие политикам MBAM для фиксированного диска после того, как диск впервые будет обнаружен как несоответствующий.

Льготный период начинается, когда фиксированный диск определяется как несоответствующий. Если вы используете автоматическую разблокировку, политика не будет применяться до тех пор, пока диск операционной системы не будет соответствовать требованиям. Однако если вы не используете автоматическую разблокировку, шифрование фиксированного диска данных может начаться до полного шифрования диска операционной системы.

По истечении настроенного льготного периода пользователи не смогут отложить требуемое действие или запросить освобождение от него. Если требуется взаимодействие с пользователем, появится диалоговое окно, и пользователи не смогут закрыть его, пока не предоставят необходимые сведения.

Политики конфигурации > компьютера Административные шаблоны > Компоненты > Windows MDOP MBAM (управление BitLocker) > — фиксированный диск >

Возможность предоставления URL-адреса в мастере шифрования дисков BitLocker для указания политики безопасности

Новый параметр групповая политика укажите URL-адрес для ссылки Политики безопасности, позволяет настроить URL-адрес, который будет представлен конечным пользователям в виде ссылки под названием Политика безопасности компании. Эта ссылка появится, когда MBAM предложит пользователям зашифровать том.

Если этот параметр политики включен, можно настроить URL-адрес для ссылки Политика безопасности компании . Если этот параметр политики отключен или не настроен, ссылка "Политика безопасности компании" не отображается для пользователей.

Новый параметр групповая политика находится в следующем узле объекта групповой политики:Политики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsMDOP MBAM (Управление BitLocker) > Client Management.

Поддержка ключей восстановления, совместимых с FIPS

MBAM 2.5 поддерживает ключи восстановления BitLocker, соответствующие стандарту FIPS, на устройствах под управлением операционной системы Windows 8.1. Ключ восстановления не был совместим с FIPS в более ранних версиях Windows. Это улучшение улучшает процесс восстановления диска в организациях, которым требуется соответствие FIPS, так как оно позволяет конечным пользователям использовать портал Self-Service или веб-сайт администрирования и мониторинга (служба технической поддержки) для восстановления своих дисков, если они забудут свой ПИН-код или пароль или заблокируют свои компьютеры. Новая функция соответствия FIPS не распространяется на предохранители паролем.

Чтобы включить соответствие FIPS в организации, необходимо настроить параметры федерального стандарта обработки информации (FIPS) групповая политика. Инструкции по настройке см. в разделе Параметры групповая политика BitLocker.

На клиентских компьютерах под управлением операционных систем Windows 8 или Windows 7 без установленного исправления BitLocker ИТ-администраторы будут по-прежнему использовать средство защиты агентов восстановления данных (DRA) в средах, совместимых с FIPS. Сведения о DRA см. в разделе Использование агентов восстановления данных с BitLocker.

См. статью Пакет исправлений 2 для администрирования и мониторинга BitLocker 2.5, чтобы скачать и установить исправление BitLocker для компьютеров с Windows 7 и Windows 8.

Поддержка развертываний с высоким уровнем доступности

MBAM поддерживает следующие сценарии с высоким уровнем доступности в дополнение к стандартным топологиям интеграции с двумя серверами и Configuration Manager:

  • группы доступности AlwaysOn SQL Server

  • кластеризация SQL Server

  • Балансировка сетевой нагрузки (NLB)

  • зеркальное отображение SQL Server

  • Резервное копирование службы теневого копирования томов (VSS)

Дополнительные сведения об этих функциях см. в статье Планирование высокого уровня доступности MBAM 2.5.

Изменено управление ролями веб-сайта администрирования и мониторинга

В MBAM 2.5 необходимо создать группы безопасности в доменные службы Active Directory (AD DS) для управления ролями, предоставляющими права доступа к веб-сайту администрирования и мониторинга. Роли позволяют пользователям, которые входят в определенные группы безопасности, выполнять различные задачи на веб-сайте, например просматривать отчеты или помогать конечным пользователям восстанавливать зашифрованные диски. В предыдущих версиях MBAM роли управлялись с помощью локальных групп.

В MBAM 2.5 термин "роли" заменяет термин "роли администратора", который использовался в более ранних версиях MBAM. Кроме того, в MBAM 2.5 удалена роль "Системные администраторы MBAM".

В следующей таблице перечислены группы безопасности, которые необходимо создать в AD DS. Для групп безопасности можно использовать любое имя.

Роль Права доступа для этой роли на веб-сайте администрирования и мониторинга

Пользователи службы технической поддержки MBAM

Предоставляет доступ к разделам Управление доверенным платформенный платформенный платформой и восстановлением диска веб-сайта администрирования и мониторинга MBAM. Пользователи, имеющие доступ к этим областям, должны заполнить все поля при использовании любой из них.

Пользователи отчетов MBAM

Предоставляет доступ к отчетам на веб-сайте администрирования и мониторинга.

MBAM Advanced Helpdesk Users

Предоставляет доступ ко всем областям веб-сайта администрирования и мониторинга. Пользователи в этой группе должны вводить только ключ восстановления, а не домен и имя пользователя, чтобы помочь конечным пользователям восстановить свои диски. Если пользователь является членом группы "Пользователи службы поддержки MBAM" и группы "Пользователи расширенной службы технической поддержки MBAM", разрешения группы "Пользователи расширенной службы поддержки MBAM" переопределяют разрешения группы "Пользователи службы поддержки MBAM".

После создания групп безопасности в AD DS назначьте пользователей и (или) группы соответствующей группе безопасности, чтобы обеспечить соответствующий уровень доступа к веб-сайту администрирования и мониторинга. Чтобы предоставить пользователям с каждой ролью доступ к веб-сайту администрирования и мониторинга, необходимо также указать каждую группу безопасности при настройке веб-сайта администрирования и мониторинга.

Windows PowerShell командлеты для настройки функций сервера MBAM

Windows PowerShell командлеты для MBAM 2.5 позволяют настраивать функции сервера MBAM и управлять ими. У каждого компонента есть соответствующий командлет Windows PowerShell, который можно использовать для включения или отключения функций, а также для получения сведений о них.

Предварительные требования и предварительные требования для использования Windows PowerShell см. в статье Настройка компонентов сервера MBAM 2.5 с помощью Windows PowerShell.

Загрузка справки MBAM 2.5 для командлетов Windows PowerShell после установки программного обеспечения сервера MBAM

  1. Откройте Windows PowerShell или Windows PowerShell интегрированную среду сценариев (ISE).

  2. Введите Update-Help –Module Майкрософт. MBAM.

Windows PowerShell справка по MBAM доступна в следующих форматах:

формат справки Windows PowerShell Дополнительные сведения

В командной строке Windows PowerShell введитекомандлетGet-Help<.>

Чтобы отправить последние командлеты Windows PowerShell, следуйте инструкциям в предыдущем разделе о загрузке справки Windows PowerShell для MBAM.

В TechNet как веб-страницы

https://go.microsoft.com/fwlink/?LinkId=393498

В Центре загрузки в виде файла Word .docx

https://go.microsoft.com/fwlink/?LinkId=393497

В Центре загрузки в виде файла .pdf

https://go.microsoft.com/fwlink/?LinkId=393499

Поддержка только ASCII и расширенных ПИН-кодов и возможность предотвращения последовательных и повторяющихся символов

Разрешить расширенные ПИН-коды для параметра запуска групповая политика

Параметр групповая политика Разрешить расширенные ПИН-коды для запуска позволяет настроить использование расширенных ПИН-кодов при запуске с BitLocker. Расширенные ПИН-коды запуска позволяют пользователям вводить любые клавиши на полной клавиатуре, включая прописные и строчные буквы, символы, цифры и пробелы. Если этот параметр политики включен, все новые пин-коды запуска BitLocker будут расширены. Если этот параметр политики отключен или не настроен, использовать расширенные ПИН-коды нельзя.

Не все компьютеры поддерживают ввод расширенных ПИН-кодов в среде выполнения перед загрузкой (PXE). Прежде чем включить этот параметр групповая политика для организации, запустите проверку системы во время настройки BitLocker, чтобы убедиться, что BIOS компьютера поддерживает использование полной клавиатуры в PXE. Дополнительные сведения см. в разделе Planning for MBAM 2.5 групповая политика Requirements.

Флажок Требовать ПИН-коды только ASCII

Параметр Разрешить расширенные ПИН-коды для запуска групповая политика также содержит флажок Требовать пин-коды только ASCII. Если компьютеры в вашей организации не поддерживают использование полной клавиатуры в PXE, можно включить параметр Разрешить расширенные ПИН-коды для запуска групповая политика, а затем установить флажок Требовать ПИН-коды только ASCII, чтобы в расширенных ПИН-кодах использовались только печатные символы ASCII.

Принудительное использование символов, не являющихся последовательными и невосстановляющих символов

MBAM 2.5 запрещает конечным пользователям создавать ПИН-коды, состоящие из повторяющихся чисел (например, 1111) или последовательных чисел (например, 1234). Если конечные пользователи пытаются ввести пароль, содержащий три или более повторяющихся или последовательных чисел, мастер шифрования диска Bitlocker отображает сообщение об ошибке и запрещает пользователям вводить ПИН-код с запрещенными символами.

Добавление сертификата DRA в отчет о соответствии компьютера BitLocker

В отчет о соответствии компьютера BitLocker в Configuration Manager добавлен новый тип предохранителя — сертификат агента восстановления данных (DRA). Этот тип защиты применяется к дискам операционной системы и отображается в разделе Тома компьютера столбцаТипы предохранителей .

Поддержка развертываний поддержки нескольких лесов

MBAM 2.5 поддерживает следующие типы развертываний с несколькими лесами:

  • Один лес с одним доменом

  • Один лес с одним деревом и несколькими доменами

  • Один лес с несколькими деревьями и несвязанными пространствами имен

  • Несколько лесов в центральной топологии леса

  • Несколько лесов в топологии леса ресурсов

Не поддерживается миграция леса (с одного на несколько, несколько в один, ресурс в лес и т. д.), обновление или понижение версии.

Необходимые условия для развертывания MBAM в развертываниях с несколькими лесами:

  • Лес должен работать в поддерживаемых версиях Windows Server.

  • Требуется двустороннее или односторонное доверие. Для односторонних отношений доверия требуется, чтобы домен сервера доверял домену клиента. Иными словами, домен сервера указывает на домен клиента.

Поддержка клиента MBAM для зашифрованных жестких дисков

MBAM поддерживает BitLocker на зашифрованных жестких дисках, которые соответствуют требованиям спецификации TCG для Opal, а также стандартов IEEE 1667. Если bitLocker включен на этих устройствах, он будет создавать ключи и выполнять функции управления на зашифрованном диске. Дополнительные сведения см. в разделе Зашифрованный жесткий диск .

Получение технологий MDOP

MBAM входит в состав пакета оптимизации рабочих столов Майкрософт (MDOP). MDOP является частью программы Майкрософт Software Assurance. Дополнительные сведения о программе Майкрософт Software Assurance и о том, как приобрести MDOP, см. в статье Как получить MDOP?.

Заметки о выпуске MBAM 2.5

Дополнительные сведения и последние новости, которые не включены в эту документацию, см. в заметках о выпуске для MBAM 2.5.

Есть предложение для MBAM?

  • Отправьте свой отзыв здесь.
  • Для устранения проблем с MBAM используйте MBAM TechNet Forum.

Microsoft BitLocker Administration and Monitoring 2.5

Начало работы с MBAM 2.5